Discuter de l’autorisation
L’autorisation couvre ce à quoi une identité peut accéder et ce qu’elle est ensuite autorisée à faire. L’autorisation d’identité fournit les éléments suivants :
- Méthodes d’attribution de droits d’utilisation permettant d’augmenter la sécurité et de réduire l’administration
- Possibilité de gérer le contrôle de stratégie
- Simplifier l’application en opérant une standardisation basée sur une approche commune
L’autorisation consiste à accorder l’accès à une identité vérifiée et définit ce à quoi elle doit avoir accès. Suivi et application de ces accès et utilisation. Avec l’autorisation, vous vous concentrez sur :
| Concept d’autorisation | Description et utilisation |
|---|---|
| Type de droit d’utilisation | Les droits d’utilisation définissent si une identité bénéficie d’un accès à une ressource particulière. Ainsi, les droits d’utilisation sont gérés avec de nombreux types différents. L’affectation des droits d’utilisation se produit au niveau de l’application, de manière centralisée via des groupes, être définie par le biais de rôles basés sur des contrôle d'accès ou d’attributs (ABAC) ou être appliquée de manière centralisée en utilisant une approche PBAC (basée sur une stratégie). |
| Stratégies d’accès | Les stratégies d’accès se concentrent sur un ensemble d’applications, de données et de groupes qui peuvent effectuer des activités. Considérez-le comme l’ensemble des règles relatives à l’exécution de votre travail. Concentrez-vous sur l’accès minimal dont vous avez besoin. |
| Application | La fonctionnalité d’application se concentre sur la façon dont une organisation gère l’application des activités d’autorisation. Dans la plupart des cas, les organisations gèrent la mise en œuvre au niveau de la couche application. Cela signifie que la mise en œuvre est effectuée par une API au sein de l’application elle-même. Certaines formes d’application consistent à utiliser un proxy inverse (par exemple, UAG) pour externaliser l’application des autorisations. Une tendance actuelle consiste à utiliser une source de stratégie externe (telle que XACML) pour déterminer comment l’identité interagit avec la ressource. |
Qu’est-ce que l’autorisation ?
L’autorisation (parfois abrégée en AuthZ en anglais) définit les autorisations qui sont utilisées pour évaluer l'accès aux ressources ou aux fonctionnalités. L’authentification, quant à elle, (parfois abrégée en AuthN) vise à prouver qu’une entité, par exemple un utilisateur ou un service, est bien ce qu’elle prétend être. L’autorisation peut spécifier les fonctionnalités (ou ressources) auxquelles une entité est autorisée à accéder. Elle se concentre également sur les données auxquelles l’entité peut accéder. Enfin, elle peut définir ce que l’entité peut faire avec ces données. Donner une définition solide du contrôle d’accès.
Types courants d’approches de l’autorisation :
- Listes de contrôle d’accès (ACL) : liste explicite d’entités spécifiques qui ont ou n’ont pas accès à une ressource ou à une fonctionnalité. Offre un contrôle précis des ressources, mais est souvent difficile à gérer avec de grands groupes d’utilisateurs et de ressources.
- Contrôle d’accès en fonction du rôle (RBAC) : approche la plus courante de la mise en œuvre de l’autorisation. Les rôles sont définis pour décrire les types d’activités qu’une entité peut effectuer. Accordez l’accès aux rôles plutôt qu’aux entités individuelles. Un administrateur peut ensuite attribuer des rôles à différentes entités pour contrôler lesquelles ont accès à quelles ressources et fonctionnalités.
- Contrôle d’accès en fonction de l’attribut (ABAC) : les règles sont appliquées aux attributs de l’entité, aux ressources faisant l’objet de l’accès et à l’environnement actuel pour déterminer si l’accès à certaines ressources ou fonctionnalités est autorisé. Par exemple, vous pouvez uniquement autoriser les utilisateurs qui sont des managers à accéder aux fichiers identifiés avec une balise de métadonnées « managers pendant les heures de travail uniquement » entre 9H00 et 17H00 les jours ouvrables. Dans ce cas, l’accès est déterminé en examinant l’attribut de l’utilisateur (statut : manager), l’attribut de la ressource (balise de métadonnées sur un fichier) et également l’attribut d’environnement (l’heure actuelle).
- Contrôle d’accès en fonction de la stratégie (PBAC) : stratégie de gestion de l’accès utilisateur à un ou plusieurs systèmes, où le rôle métier de l’utilisateur est combiné avec des stratégies pour déterminer l’accès de l’utilisateur.
Contexte d’authentification
Une nouvelle fonctionnalité dans Microsoft Entra ID qui est toujours en préversion. Un contexte d’authentification permet de renforcer la sécurité des données et des actions dans des applications. Il peut s’agir de vos propres applications personnalisées, d’applications métier personnalisées, d’applications telles que SharePoint, ou d’applications protégées par Microsoft Defender for Cloud Apps. Par exemple, une organisation peut conserver des fichiers dans des sites SharePoint comme le menu déjeuner ou leur recette secrète de sauce barbecue. Tout le monde a accès au site du menu du déjeuner. Toutefois, les utilisateurs qui ont accès au site des recettes de sauce barbecue secrètes sont tenus de se connecter à partir d’un appareil géré. Vous pouvez même les appliquer pour accepter des conditions d’utilisation spécifiques.